如何隐藏一个文件？(200分)

V

vvyang

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-04

• #1

各位新年好！
1、遇到个问题，如何隐藏一个文件，而用常规方法找不到？
2、隐藏驱动器、改注册表将所有文件隐藏之类饮鸩止渴的方法，还是留给“计算机爱好者”们自己享用去吧；Attrib 也不行，很容易被发现；加密也不可以，因为要给其它软件共享。
3、我知道有人又要说了：真正隐藏文件的方法是没有滴，你有办法隐藏就有办法显示！如果您想这么说的话，还是闭嘴的好，谢谢！
4、简单说，就是某个软件运行需要用到一个文件，而这个文件不能通过改变文件夹选项之类的方法看到。最好有“虚拟文件”或底层文件系统之类的方法，让软件认为这个文件真实存在，但又不能被其它人轻易看到。

 

轻

轻舞肥羊

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-04

• #2

软件是调用API读写文件
资源管理器也是调用API读写文件
凭啥软件能访问,资源管理器就不能访问?

 

B

bsense

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-04

• #3

****
做一个还原精灵之类的东西吧
先进入ring0,然后用硬盘端口io就可以了

 

V

vvyang

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-04

• #4

To 轻舞肥羊：
寒啊，我就是不会才问么。文件不是彻底隐藏，只要用一般方法看不到就行，有很多病毒，用资源管理器看不到，用 WinRAR 可以看到。
To bsense：
暴寒！不就是个文件么，干吗让我用炮轰啊？

 

白

白河愁

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-04

• #5

如果是固定文件,又是商用软件,可以联系我,有完整的解决方案.

 

P

Passion

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-04

• #6

不少病毒就是在驱动一层过滤特定的文件访问来隐藏自己的。
但也并非没有对付的法子。

 

J

jinhx

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-05

• #7

可以把该文件与某其它文件合并，比如图片文件，正常打开时只能看到一张图片，用你的软件打开时就能得到你想得到的数据。一定行

 

V

vvyang

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-05

• #8

我又看不到自己的回复了...
To 白河愁：
是固定文件，不过不是商用，内部＋自己用的。你用的是文件过滤驱动么？
To Passion：
我也准备用 Hook NtQueryDirectoryFile 的方法试一试，不过只能用在 NT 上，好在现在基本没人用 98 了...
To jinhx：
文件本身不能改动，也不能隐藏在别的文件里，因为是要给别的程序共享的，别的程序不可能进行改动来到图片里读取我的文件。

 

白

白河愁

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-05

• #9

我的不是驱动。不过不是商用就算了。
提醒一点就算用Hook 了 NtQueryDirectory,如何保证你自己也读得到，

 

V

vvyang

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-05

• #10

To 白河愁：
呵呵，不是商用啊，不然亏不了您的。
Hook NtQueryDirectory，是过滤 Explore 的 FindNextFile 之类的，我想应该不影响 ReadFile 之类的 API 吧...
还是很希望您透露一点啊，不用具体代码，给点提示就行啊，我这 200 分外加 300 分不成敬意...

 

白

白河愁

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-05

• #11

就说一下把，其实不需要hook QueryDirectory。
要hook的是createfile, readfile, writefile和closehandle,当然可能还有createfilemapping相关的。然后你把那个文件打包到你自己的程序中。
用的时候做一个内存镜像，然后hook其它要用到这个文件的程序，把读写接管过来
读你的内存，就可以了。

 

V

vvyang

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-05

• #12

To 白河愁：
呵呵，有点明白了。我试一试吧，应该比 Hook NtQueryDirectory 简单和可靠。
我开个帖，先送您 400 分，这个帖再挂两天，看有没有更简单的方法（估计没有了）。
先到这来接分吧：
http://www.delphibbs.com/delphibbs/dispq.asp?lid=3865243
http://www.delphibbs.com/delphibbs/dispq.asp?lid=3865244

 

V

vvyang

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-05

• #13

白河愁，人呐？

 

白

白河愁

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-01-06

• #14

原来是这个发分的......
Hook NtQueryDirectory 需要注入每一个进程，比较麻烦了

 

V

vvyang

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-02-06

• #15

多人接受答案了。